Abo
  • Services:

JSFuck: Esoterischer Javascript-Stil ermöglicht XSS bei Ebay

Die XSS-Filter von Ebay lassen sich mit Hilfe eines zu Lernzwecken erstellten Javascript-Stils überlisten, um fremden Code auszuführen. Ebay will den Fehler nur halbherzig beheben. Der Entwickler von JSFuck zeigte sich im Gespräch mit Golem.de überrascht von dem Szenario.

Artikel von veröffentlicht am
Mit Hilfe von maskiertem Javascript-Code könnten Angreifer Phishing-Angriffe auf Ebay-Nutzer durchführen.
Mit Hilfe von maskiertem Javascript-Code könnten Angreifer Phishing-Angriffe auf Ebay-Nutzer durchführen. (Bild: Checkpoint)

Die Sicherheitsfirma Checkpoint hat heute, Dienstag, ein Angriffsszenario vorgestellt, mit dem Händler auf Ebay ihren Kunden bösartigen Javascript-Code unterschieben könnten, um damit Phishing-Angriffe oder andere Aktionen auszuführen. Das Problem liegt in der Art und Weise, wie Ebay aktive Code-Elemente prüft - und in einem esoterischen Programmierstil für Javascript.

Stellenmarkt
  1. Deutscher Apotheker Verlag Dr. Roland Schmiedel GmbH & Co., Stuttgart
  2. MCQ TECH GmbH, Blumberg

"Mit dem Ebay-Angriff können Cyberkriminelle Nutzer auf einfache Art ins Visier nehmen: Sie führen den Angriff aus, indem sie einen Link zu einem hochattraktiven Produkt senden. Die hauptsächliche Bedrohung sind die Verbreitung von Malware und das illegale Kopieren persönlicher Informationen", sagte Oded Vanunu, Leiter der Sicherheitsforschungsgruppe bei Checkpoint, im Gespräch mit Golem.de.

Die Sicherheitsforscher von Checkpoint haben für ihren theoretischen Angriff JSFuck benutzt. Mit JSFuck können Javascript-Befehle mit Hilfe von nur sechs verschiedenen Symbolen dargestellt werden. Diese sind !, [, ], +, (, und ). Das False-Kommando wird zu ![], die Ziffer 10 zu [+!+[]]+[+[]]. Eine vollständige Liste findet sich bei Github. Auf der Webseite von JSFuck kann bestehender Code mit Hilfe eines Tools einfach umgewandelt werden. Mit diesem umgewandelten Code konnten die Forscher dann bösartigen Javascript-Code von einem von ihnen kontrollierten Server laden - und könnten damit zum Beispiel Phishing-Angriffe mit Overlay-Fenstern durchführen. Der Angriff soll auf dem Desktop, aber auch in den Ebay-Apps für Android und iOS funktionieren.

JSFuck war nur als Hobbyprojekt gedacht

Das Projekt wird auf der Webseite als esoterischer Programmierstil bezeichnet, der nur zu Schulungszwecken und aus Spaß am Herumprobieren entwickelt wurde. Initiator Martin Kleppe sagte im Gespräch mit Golem.de: "Mit JSFuck wollte ich eigentlich nur zeigen, dass Javascript mit nur sehr wenigen unterschiedlichen Zeichen geschrieben werden kann." Kleppe zeigte sich überrascht darüber, dass mit JSFuck konvertierter Javascript-Code jetzt eingesetzt wurde, um die Entdeckung aktiver Elemente durch XSS-Filter zu umgehen.
Mit Hilfe von JSFuck haben die Sicherheitsforscher von Checkpoint nach eigenen Angaben Javascript-Code erzeugt, der von Ebays Filtermechanismen nicht entdeckt wird. Normalerweise zeigt der Online-Händler eine Fehlermeldung an, wenn Javascript-Elemente im HTML-Code der Händlerseite eingefügt werden. Checkpoint gibt an, Ebay bereits im Dezember auf die Untersuchungsergebnisse hingewiesen zu haben. Die beschrieben Sicherheitslücke wurde gefixt, eine generelle Abkehr von "aktive Inhalte" soll es jedoch nicht geben. Nach Veröffentlichung des Blogposts habe Ebay aber nun die zu Testzwecken angelegten Testkonten gesperrt, sagte ein Checkpoint-Vertreter im Gespräch mit Golem.de.

Nachtrag vom 4. Februar 2016, 9:26 Uhr

Ebay hat sich mittlerweile zu dem Vorfall geäußert. In einem von Ars Technica veröffentlichten Statement schreibt das Unternehmen: "Wir waren mit den Forschern in Kontakt und haben verschiedene, auf ihren Untersuchungsergebnissen basierende Filter installiert, die diesen Exploit entdecken würden." Nicht näher spezifizierten "aktiven Content" solle es aber auch weiterhin auf Ebay geben - Sicherheitsvorfälle damit würde es äußerst selten geben, schreibt das Unternehmen. Wir haben den Text an die neue Sachlage angepasst.



Anzeige
Spiele-Angebote
  1. 31,99€
  2. 32,99€
  3. 39,99€
  4. 59,99€ mit Vorbesteller-Preisgarantie

My1 15. Feb 2016

rainbow table ist durchaus schön aber wenn man 4 zufällige worte aus einer bekannten 2048...

My1 15. Feb 2016

JSFuck basiert auf der sehr laxen automatischen Typenumwandlung was es halt erlaubt das...

cpt.dirk 12. Feb 2016

Dazu ist niemand verpflichtet, es können sehr einfach Skripte je externer Domain separat...

crazypsycho 05. Feb 2016

Das script-Tag rauszufiltern ist technisch auf Serverseite überhaupt kein Problem. PHP...

crazypsycho 03. Feb 2016

Das mit bgcolor könnte man ja noch mit abwärtskompatiblität zu Uralt-Browser erklären...


Folgen Sie uns
       


Shadow of the Tomb Raider - Golem.de live Teil 1

In Teil 1 im Livestream zu Shadow of the Tomb Raider gibt es zahlreiche Grafik-Menüs, schöne Screenshots und Laras Start in die Apokalypse.

Shadow of the Tomb Raider - Golem.de live Teil 1 Video aufrufen
Künstliche Intelligenz: Wie Computer lernen
Künstliche Intelligenz
Wie Computer lernen

Künstliche Intelligenz, Machine Learning und neuronale Netze zählen zu den wichtigen Buzzwords dieses Jahres. Oft wird der Eindruck vermittelt, dass Computer bald wie Menschen denken können. Allerdings wird bei dem Thema viel durcheinandergeworfen. Wir sortieren.
Von Miroslav Stimac

  1. Innotrans KI-System identifiziert Schwarzfahrer
  2. USA Pentagon fordert KI-Strategie fürs Militär
  3. KI Deepmind-System diagnostiziert Augenkrankheiten

Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

Apple Watch im Test: Auch ohne EKG die beste Smartwatch
Apple Watch im Test
Auch ohne EKG die beste Smartwatch

Apples vierte Watch verändert das Display-Design leicht - zum Wohle des Nutzers. Die Uhr bietet immer noch mit die beste Smartwatch-Erfahrung, auch wenn eine der neuen Funktionen in Deutschland noch nicht funktioniert.
Ein Test von Tobias Költzsch

  1. Smartwatch Apple Watch Series 4 mit EKG und Sturzerkennung
  2. Smartwatch Apple Watch Series 4 nur mit sechs Modellen
  3. Handelskrieg Apple Watch und anderen Gadgets drohen Strafzölle

    •  /